请教高手,新做了一个C#开发的程序,发现被黑了,请问有何漏洞,百分相送,在线等

请教高手,新做了一个C#开发的程序,发现被黑了,请问有何漏洞,百分相送,在线等
网站:www.leixun.net

解决方案 »

  1.   

    没有仔细检测,不过发现你有sql注入的可能
      

  2.   

    不会呀,sql注入我都给平掉了,请明释好吗?
      

  3.   

    管理员密码要用MD5加密 而且数据库要定时备份 还有就是服务器被攻击的可能性 
    数据库密码用复杂点 还可以将web.config中的数据库连接加密
      

  4.   

    http://www.leixun.net/biz_sup_details.aspx?supid=12549%20'and%201=1
      

  5.   

    hdt:谢谢你的顶力相助.刚才贴出来的网址我不知道有什么漏洞,可否说的再详细一点,谢谢
      

  6.   

    我对这方面也不是很了解,你的网页传值没有屏蔽 ' 空格等等,应该有注入的嫌疑。或者你的iis的补丁打没打齐
      

  7.   

    to 学习学习
        高手,请指点,我在执行sql语句后都经过了判断的,为什么还会有漏洞,请明释,不胜感谢,我在安全那里也留了同样的贴子,一共两百分,如果能解决两个贴子一起结.
      

  8.   

    http://www.leixun.net/biz_sup_details.aspx?supid=12549 and 1=1可以在地址栏上打上如此的网址试下。你网站实在太慢。我无法给你测试。怀疑是不是网通的线程。
      

  9.   

    你的验证码做得有问题.应该是生成图片的形式显示验证码..你这样做.有验证码等于没有.人家用通过你的HTML<span id="Label1" style="height:8px;width:16px;">的特征就可以取得你的验证码..然后通过攻击可以取得你的用户的密码..
      

  10.   

    to 学习学习
        http://www.leixun.net/biz_sup_details.aspx?supid=12549 and 1=1这个网址会弹出登录超时,并不会返回错误呀,这个怎么能攻进去呀,请明释,谢谢
      

  11.   

    很简单,如果我在浏览器设置里面屏蔽javascript不就ok了么
      

  12.   

    http://community.csdn.net/Expert/topic/3803/3803170.xml?temp=.6236078
      

  13.   

    http://www.leixun.net/biz_sup_details.aspx?supid=12549;delete table....自己看。可以执行任意的不需要单引号的sql语句。
      

  14.   

    最好sql语句用参数
    不要用拼接
      

  15.   

    把所有的操作数据库的操作用存储过程的方式进行。然后每个参数都定义长度。
    请仔细阅读以下文章
    http://www.microsoft.com/china/technet/security/guidance/secmod87.mspx#EKAA
      

  16.   

    你用 url重写 技术 把真实地址 隐藏了不就安全了